Hack SolarWinds: O que aconteceu e como se proteger

Shutterstock / Ascannio

Agências federais e organizações globais foram comprometidas em um ataque cibernético de longo prazo patrocinado pelo estado. Os atores da ameaça conduziram um ataque à cadeia de suprimentos usando software SolarWinds comprometido. Veja o que aconteceu e como se manter seguro.

Software Trojan

O software de Trojan carrega uma carga maliciosa oculta. Você acha que está instalando um aplicativo, mas, na verdade, existem clandestinos na rotina de instalação que são instalados ao mesmo tempo. Ou o aplicativo que você está instalando foi comprometido e agora contém código malicioso.

Um exemplo recente é um aplicativo leitor de código de barras que foi removido da loja de aplicativos Google Play. O leitor de código de barras foi publicado há vários anos e tinha uma base instalada saudável de 10 milhões de usuários. Foi vendido a um novo proprietário, “ The Space Team ” com sede na Ucrânia, no final de 2020.

Após uma atualização do aplicativo, os usuários foram atormentados por anúncios. Seu navegador padrão abriria sozinho. Links e botões para baixar e instalar outros aplicativos apareceriam em cascata em sua tela. Os novos proprietários modificaram o código do aplicativo do scanner para incluir malware. O aplicativo era confiável para aqueles que já o tinham instalado, portanto, uma atualização não levantaria preocupações. Mas a atualização que eles esperavam fornecer correções de bugs e novos recursos, na verdade, comprometeu seu aparelho. O leitor de código de barras até então inocente agora era um cavalo de Tróia.

O aplicativo leitor de código de barras foi apontado como uma boa compra pelos atores da ameaça. Sua forte base de usuários tornou-o um mecanismo de transporte conveniente para colocar malware em até 10 milhões de smartphones. Eles compraram o aplicativo, modificaram seu código e o enviaram como uma atualização. Presumivelmente, o custo de compra do aplicativo foi visto como um custo operacional do golpe, a ser recuperado de seus lucros criminosos. Para os atores da ameaça, provavelmente era uma maneira barata e fácil de obter acesso a 10 milhões de smartphones.

A violação SolarWinds

O hack do SolarWinds é semelhante, mas em uma liga totalmente diferente. A SolarWinds cria e vende software de monitoramento e gerenciamento para redes corporativas. Para fornecer informações detalhadas e granulares de que os administradores de sistema precisam para manter a eficácia dos recursos de TI pelos quais são responsáveis, o software SolarWinds exige direitos de acesso extremamente privilegiados à rede.

Assim como o leitor de código de barras, o software SolarWinds não era &’ o alvo — era apenas o mecanismo de entrega. SolarWinds Orion é uma ferramenta de relatório e monitoramento de pilha de TI completa. Foi comprometido por atores de ameaças. Eles modificaram secretamente uma Dynamic Link Library (DLL) chamada SolarWinds. Orion. Core. BusinessLayer. dll. A DLL corrompida foi incluída nas versões do SolarWinds Orion 2019.4 a 2020.2.1 HF1. Essas atualizações foram lançadas entre março e junho de 2020. Assim como o aplicativo de leitura de código de barras, as atualizações foram usadas para distribuir o malware aos clientes existentes. O malware foi denominado SUNBURST pelos pesquisadores de segurança cibernética da FireEye.

A sofisticação da violação inicial da SolarWinds &’ sistemas, a complexidade do código de Trojan, a exploração de uma vulnerabilidade de dia zero e os métodos tecnicamente exigentes para evitar a detecção pós-comprometimento apontam para que os perpetradores sejam um grupo de Ameaça Persistente Avançada patrocinado pelo estado.

Isso fica mais evidente quando você olha a lista de vítimas. Eles incluem agências e departamentos federais seniores dos EUA, operadores dentro da infraestrutura crítica dos EUA, organizações globais e empresas privadas. O Tesouro dos EUA, o Departamento de Segurança Interna, o Departamento de Estado, o Departamento de Defesa e o Departamento de Comércio foram todos vítimas. Ao todo, cerca de 18.000 instalações foram afetadas pelas atualizações contaminadas.

Assim que as atualizações infectadas forem aplicadas aos clientes &’ redes, o malware se instala e permanece adormecido por cerca de duas semanas. Em seguida, ele faz solicitações HHTP aos atores da ameaça &’ servidores para recuperar comandos, sobre os quais atua. Ele fornece uma porta dos fundos para os atores da ameaça diretamente nas redes infectadas.

O tráfego de rede gerado pelo malware está disfarçado como tráfego de protocolo Orion Improvement Program (OIP). Isso ajuda o malware a não ser detectado. Ele também está ciente de muitos tipos de antivírus, antimalware e outros softwares de proteção de endpoint e pode evitá-los e evitá-los.

No entanto, um dos SolarWinds &’ clientes era FireEye, uma empresa de segurança cibernética bem conhecida. Quando os ativos de software proprietário foram roubados da FireEye, eles iniciaram uma investigação que descobriu o malware e o link para a SolarWinds.

Este é um ataque clássico à cadeia de suprimentos. Em vez de se perguntarem como infectar todas as organizações-alvo, os atores da ameaça atacaram um de seus fornecedores comuns, recostaram-se e esperaram que o processo normal de atualização ocorresse.

Avaliando sua cadeia de suprimentos

Para avaliar adequadamente o risco de um ataque à cadeia de suprimentos, você precisa entender sua cadeia de suprimentos completamente. Isso significa mapear. Preste atenção especial aos fornecedores de hardware e software de rede. Se você usa um provedor de serviços gerenciados terceirizado (MSP), precisa estar ciente de que eles são alvos de alto valor para os cibercriminosos. Se eles puderem comprometer um MSP, eles terão as chaves do reino para todos os clientes do MSP.

Esteja atento a qualquer fornecedor que envia rotineiramente pessoal de serviço ou manutenção para suas instalações. Se eles estiverem fazendo manutenção de qualquer tipo de equipamento que se conecte à sua rede, é provável que o engenheiro de serviço se conecte à sua rede quando eles estiverem no local. Se seu laptop foi comprometido porque a rede de seu empregador foi atacada, você será infectado. E você pode não ser o alvo do cibercriminoso. Talvez seja um dos outros clientes desse provedor. Mas, com um ataque à cadeia de suprimentos, muitas outras empresas são pegas no fogo cruzado e sofrem como danos colaterais. Se você foi o alvo ou não, não facilita o golpe se você estiver comprometido.

Depois de identificar os fornecedores que direta ou indiretamente tocam em sua rede, você pode fazer uma avaliação de risco. Analisando cada fornecedor por vez, qual a probabilidade de eles serem úteis em um ataque à cadeia de suprimentos. O que os cibercriminosos ganhariam? Quem são os outros clientes do provedor? Algum deles é um alvo atraente para um grupo APT patrocinado pelo estado? Agências de inteligência, qualquer coisa relacionada com o exército, infraestrutura crítica ou departamentos governamentais são alvos de alto risco que um APT pode tentar capturar com um ataque à cadeia de abastecimento.

O outro lado é que os contratos de fornecimento de agências de inteligência, militares e governo são concedidos apenas a fornecedores que possam demonstrar que operam com segurança e têm segurança cibernética eficaz. Em circunstâncias excepcionais — e especialmente quando vulnerabilidades de dia zero estão envolvidas — qualquer organização pode ser violada. Foi isso que aconteceu com a SolarWinds.

Discuta seus objetivos e preocupações com seus fornecedores. Eles podem evidenciar qualquer certificação ou conformidade de padrões em relação à segurança cibernética? Eles revelarão seus registros de incidentes de segurança cibernética e tratamento de incidentes? Como você pode cooperar para garantir uma operação segura em seus relacionamentos comerciais em andamento?

A auditoria de novos fornecedores deve se tornar um procedimento padrão e, pelo menos, auditoria anual para os fornecedores existentes. Se estiverem muito longe para viajar, pelo menos envie-lhes um conjunto de perguntas e peça-lhes que as respondam e atestem que o que dizem é verdade.

Além de se proteger de um ataque à cadeia de suprimentos, você precisa considerar o risco de sua cadeia de suprimentos entrar em colapso devido a um ataque cibernético — esteja você diretamente envolvido no ataque ou não. Se uma seção crítica de sua cadeia de suprimentos entrar em colapso, você enfrentará uma emergência de um tipo diferente. Você pode obter todos os seus suprimentos essenciais de outros fornecedores? O que você pode fazer com relação a produtos ou serviços de nicho que não pode ser facilmente ou rapidamente obtido em outro lugar?

Em vez de uma única cadeia de suprimentos linear para suprimentos críticos ou estratégicos, pode ser possível estabelecer várias linhas de suprimentos paralelas. Se um quebrar, os outros podem continuar. Isso não aumenta a segurança, mas aumenta a robustez e a durabilidade da sua cadeia de suprimentos.

Outras etapas a serem realizadas

Se você for um cliente da SolarWinds, deve consultar o comunicado de segurança da SolarWinds e tomar as medidas necessárias. Além disso, consulte a diretiva de emergência do Departamento de Segurança Interna e siga todas as orientações aplicáveis.

O malware SUNBURST usava uma técnica que permitia acessar ou gerar certificados de autenticação para que pudesse acessar serviços protegidos. A Trimarc Security compartilhou um script Powershell que fará a varredura de uma floresta do Active Directory de domínio único e relatará todas as deficiências encontradas.